Ana Pérez Vázquez y Santiago Cruz Roldán, Abogados y Consultores – UBT LEGAL & COMPLIANCE
Santiago Cruz Roldán
La velocidad con la que se desarrollan las nuevas tecnologías no es una noticia que, a día de hoy, nos pille por sorpresa. No paramos de recibir información sobre nuevos desarrollos de herramientas y sistemas que afectan directamente a nuestra vida personal y laboral, y que rápidamente entran a formar parte de nuestras rutinas diarias. Esta vertiginosa evolución tecnológica, tiene cono efecto, el incremento de las vulnerabilidades y amenazas en cualquier organización.
Debemos primero, diferenciar los términos de “amenaza” y “vulnerabilidad”. Tal y como establece el Instituto Nacional de Ciberseguridad, una “vulnerabilidad” es una “debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información” permitiendo que un tercero pueda alterar la integridad, disponibilidad o confidencialidad de la misma. Por su lado, una “amenaza” se entiende como “toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información”.
Es necesario que cualquier organización examine las amenazas y vulnerabilidades a las que está expuesta, llevando a cabo un análisis de riesgos en el que se evalúe la magnitud del riesgo a la que está expuesta la organización. Cabe mencionar aquí, que a la hora de realizar un análisis de riesgos se deberá ejecutar conforme a las siguientes fases: se deberá definir el alcance del modelo; a continuación, se procederá a la identificación y valoración de los activos de información del tratamiento, procesos o sistema que vaya a ser objeto del examen. Una vez reconocidos, se deberán catalogar las amenazas asociadas a dichos activos y realizar, a continuación, un estudio y análisis de las características de los mismos, con el fin de determinar los puntos débiles y las salvaguardas existentes.
Llegados a este punto, para cada activo y amenaza identificados, se deberá establecer la probabilidad de que se materialice, así como el impacto que podrá producir en el seno de la organización. Por último, una vez que se ha calculado el riesgo, se deberán corregir los mismos a través de la aplicación de medidas y controles. Atendiendo a la relevancia de los mismos, las medidas y controles irán dirigidas a evitar el riesgo, a reducir el impacto o la probabilidad del riesgo, a transferirlo o a aceptar la existencia del riesgo y monitorizarlo.
Con ocasión de la transformación que se ha operado en la sociedad con motivo de la Covid-19, se han de reevaluar los riesgos de las actividades de tratamiento. Así, por ejemplo, muchas empresas y entidades han optado decididamente por el teletrabajo y se ha potenciado la prestación de servicios “a distancia” desplazando el asistencialismo por el uso de plataformas y herramientas tecnológicas de comunicación (Google Meet, Microsoft Teams, Zoom, etc), sin olvidar tampoco, el uso de plataformas de conservación de la información en formato “cloud”. En definitiva, se ha multiplicado exponencialmente, el uso de soluciones de software que permiten facilitar, en todos los campos, la asistencia por medios telemáticos y la deslocalización de personal e infraestructuras. Este escenario, provoca que, cualquier entidad, tenga que identificar y valorar las nuevas amenazas que conlleva esta nueva forma de uso de la información.
Las nuevas amenazas que se han incrementado son las relativas a los ataques de terceros. De esta forma, podemos analizar los siguientes:
- Malware o código malicioso, que permite a terceros realizar ataques genéricos y dirigidos, a través del uso de troyanos, con el fin de atacar un dispositivo, configuración o componente específico de la red.
- Ingeniería social, en la que se usan técnicas de persuasión en donde los atacantes se aprovechan de la buena voluntad de las víctimas, y su falta de conocimiento (y exceso de confianza), a la hora de facilitar información sensible o confidencial.
- El Phishing ha sido uno de los ciberataques que más se ha detectado durante los últimos meses. Nos encontramos aquí dos escenarios distintos: uno en el que se envía a las víctimas un email, llamada o mensaje fraudulento con el objeto de robar datos personales; y otro en el que la página web de una organización es “suplantada” con el fin de obtener de forma ilícita datos personales de los usuarios o clientes de dicha organización. Se utiliza también como sistema de envío de correos phishing a otros usuarios.
- Otra de las más habituales son las conocidas como Amenazas Persistentes Avanzadas (o APT, “Advanced Persistent Threats), es decir, ataques coordinados dirigidos contra la organización, y que tienen como objetivo robar información. Este tipo de ataque se suele llevar a cabo apoyándose en técnicas de ingeniería social, de ahí que la identificación de los atacantes sea casi imposible.
- Los Botnes, permiten a sus creadores controlar los equipos que hayan sido infectados gracias a la ejecución de programas de manera automática y autónoma. Una vez controlado el equipo, los utilizan para realizar ataques. Un ejemplo muy habitual de esta amenaza son los ataques DDos, en donde el ataque se dirige a un sistema o red con el objetivo de que un servicio o recurso no sea accesible por parte del usuario legítimo.
Es del todo fundamental que las entidades, tanto públicas como privadas, establezcan los controles necesarios para minimizar la probabilidad de que se manifiesten las amenazas, así como reducir el posible impacto que puede conllevar la materialización de las mismas. Para reducir o mitigar el riesgo asociado al tratamiento, las organizaciones deben establecer las medidas técnicas y organizativas que, como dispone el Reglamento General de Protección de Datos, resulten “apropiadas” para reducir la exposición del riesgo.
El principal objetivo de la adopción de dichas medidas es garantizar la confidencialidad de la información, así como la integridad, disponibilidad y resiliencia de los sistemas e infraestructuras de tratamiento. La normativa anterior –Real Decreto 1720/2007 de Desarrollo de la LOPD- establecía la obligatoriedad de cumplir con unas medidas cerradas en función de la información que se tratara en el activo de información. El Reglamento no establece un catálogo de medidas cerradas como sí establecía la normativa anterior, sino que, conforme al nuevo principio de responsabilidad proactiva, se deja al arbitrio de cada entidad la adopción de aquellos controles que puedan resultar adecuados para el tratamiento seguro de la información. Cada entidad es, de este modo, responsable frente al interesado, de establecer aquellas medidas para proteger sus datos de carácter personal.
Para dotar de mayor seguridad jurídica resulta muy recomendable hacer uso de los controles y medidas indicados en la norma ISO 27001. Éste estándar para la seguridad de la información, especifica los requisitos que ha de tener cualquier Sistema de Gestión de Seguridad de la Información (SGSI) y desarrolla, junto a la norma ISO 27002 un conjunto de controles que permitirían el tratamiento seguro de la información. El estándar 27001 es certificable, por lo que permitiría a terceros conocer que la información tratada en el activo de información de la organización se hace conforme a unos criterios de seguridad de la información.
Además, sobre la norma ISO 27001, se ha incorporado la norma ISO 27701. Éste último estándar, también de carácter certificable, permite implementar los principios del RGPD para proteger la privacidad conforme al enfoque basado en el riesgo de la organización. Dicho estándar servirá para acreditar frente a los interesados, Autoridad de Control, proveedores y clientes, que el tratamiento de los datos de carácter personal de la organización es de confianza.
Una de las implicaciones que tiene el citado principio de responsabilidad proactiva es que, toda entidad, tiene que ser capaz de demostrar que cumple con la normativa, por lo que la consecución de estos estándares será una evidencia transparente del alineamiento de la entidad con la normativa de protección de datos.
En definitiva, conforme al ciclo de mejora continua, todas las entidades, tanto públicas como privadas, deben de realizar el ejercicio de analizar qué riesgos de carácter técnico se ven incrementados por la transformación de la forma de prestar el servicio, y, en su virtud, adoptar aquellas medidas que puedan reducir y mitigar los efectos que puede derivarse de la realización de una amenaza, debiendo ser capaces de demostrar que han adoptado todos las medidas que sean necesarias para corregir las desviaciones detectadas.